كشف باحثون في مجال الأمن السيبراني عن تفاصيل ثغرة أمنية خطيرة جرى إصلاحها مؤخرًا في نظام WatchGuard Fireware، كانت تتيح للمهاجمين تنفيذ أوامر عشوائية عن بُعد دون الحاجة إلى مصادقة.
تحمل الثغرة الرقم CVE-2025-9242 وتُقيّم بدرجة 9.3 على مقياس CVSS، وقد وُصفت بأنها ثغرة كتابة خارج حدود الذاكرة (Out-of-Bounds Write) تؤثر على إصدارات Fireware OS من 11.10.2 حتى 11.12.4_Update1، ومن 12.0 حتى 12.11.3، بالإضافة إلى الإصدار 2025.1.
وأوضحت شركة WatchGuard أن الخلل يقع في عملية iked ضمن النظام، ما يتيح لمهاجم بعيد تنفيذ تعليمات برمجية عشوائية على الجهاز، سواء في إعدادات VPN للمستخدمين عبر IKEv2 أو في اتصال الفروع (Branch Office VPN) عند استخدام بوابة ديناميكية.
تفاصيل الثغرة وآلية الاستغلال
بحسب تحليل صادر عن مختبرات watchTowr، فإن الثغرة تحمل “كل السمات التي تروق لعصابات الفدية”، إذ تؤثر على خدمة متصلة بالإنترنت، ويمكن استغلالها دون مصادقة، وتمنح المهاجم قدرة على تنفيذ التعليمات عن بُعد على أجهزة الحافة (perimeter appliances).
ويُرجع الباحث ماكولي هدسون أصل الثغرة إلى دالة برمجية تُسمى ike2_ProcessPayload_CERT داخل الملف ike2_payload_cert.c، والتي تقوم بنسخ بيانات تعريف العميل إلى ذاكرة محلية بحجم 520 بايت ثم التحقق من شهادة SSL الخاصة به. غير أن غياب التحقق من طول البيانات المنسوخة يؤدي إلى فيض في الذاكرة (Buffer Overflow)، ما يسمح بتنفيذ كود خبيث خلال مرحلة IKE_SA_AUTH في عملية إنشاء نفق VPN بين العميل وخدمة WatchGuard عبر بروتوكول إدارة المفاتيح IKE.
وأوضح هدسون أن عملية التحقق من الشهادات تتم بعد تنفيذ الجزء المعرّض للاستغلال، مما يجعل الهجوم ممكنًا قبل اكتمال المصادقة.
السيطرة على النظام وتجاوز القيود
أشار باحثو watchTowr إلى أن نظام Fireware لا يحتوي على قشرة أوامر تفاعلية مثل /bin/bash، لكن يمكن استغلال الثغرة للسيطرة على مسجل مؤشرات التعليمات (RIP) وفتح قشرة بايثون تفاعلية عبر TCP باستخدام استدعاء النظام mprotect() لتجاوز آلية حماية التنفيذ (NX bit).
ومن هناك، يستطيع المهاجم ترقية السيطرة عبر خطوات متتابعة تشمل:
-
تنفيذ أمر execve لإعادة تركيب نظام الملفات بوضع القراءة والكتابة،
-
تحميل ملف BusyBox إلى الجهاز المستهدف،
-
إنشاء ارتباط رمزي بين /bin/sh وملف BusyBox لتفعيل قشرة لينكس كاملة.
إصدارات الإصلاح وحوادث مشابهة
تمت معالجة الثغرة في الإصدارات التالية:
-
الإصدار 2025.1.1 لإصلاح فرع 2025.1،
-
الإصدار 12.11.4 لسلسلة 12.x،
-
الإصدار 12.3.1_Update3 (B722811) للإصدارات المعتمدة وفق معيار FIPS،
-
الإصدار 12.5.13 لأجهزة T15 وT35،
في حين أن سلسلة 11.x خرجت من الدعم الرسمي.
ويأتي هذا الاكتشاف بعد أن أظهرت watchTowr إمكانية تحويل ثغرة حجب الخدمة (DoS) في منتج Progress Telerik UI for AJAX (المعروفة بـ CVE-2025-3600) إلى تنفيذ أوامر عن بُعد وفق بيئة الهدف، وهي ثغرة أصلحتها شركة Progress Software في 30 أبريل 2025.
كما سلطت أبحاث أخرى الضوء على ثغرة حقن أوامر (Command Injection) في منتج Dell UnityVSA (CVE-2025-36604، بدرجة 9.8/7.3)، والتي أصلحتها Dell في يوليو 2025 بعد الإفصاح المسؤول عنها في مارس من العام ذاته.
